本文作者:雁过留痕@深信服MSS专家部
一、组织介绍
金眼狗是一个针对在东南亚从事博彩、狗推相关人员以及海外华人群体的APT团伙,其业务范围涵盖远控、挖矿、DDoS攻击等,主要通过在社交群组中进行分享传播,病毒采用白加黑的形式,通过正常的白程序调用恶意的dll文件执行。
IOC:
27.124.10.6
154.213.31.4
e.nkking.com
二、病毒分析过程
注:采用病毒查杀常规思路,其他病毒也可使用该方法排查。
1、平台生成访问金眼狗恶意域名:e.nkking.com
2、使用SfabAntiBot或MereorySearch在内存中检索金眼狗家族通信域名:e.nkking.com,可以检索到异常进程:E277E4BF.exe,进程对应程序路径在C:users当前用户Videos下。
3、根据检索出的进程,使用systeminformer查看进程属性,可以看到是名为Windows Eventn服务拉起的进程。
4、网络连接中可以看到进程存在外联:27.124.10.6、154.213.31.4。
5、使用autoruns可以在服务中可以看到名为Windows Eventn的服务,对应的启动路径正是病毒的程序。
三、病毒处置
1、使用autoruns删除对应服务:Windows Eventn。
2、使用systeminformer终止对应进程。
3、删除对应的程序。
4、重启未再外联。
MereorySearch工具下载:https://github.com/Fheidt12/Windows_Memory_Search
其余排查工具,关注微信公众号:安服仔的救赎,发送:“金眼狗”获取。
往期精彩内容推荐:
原文始发于微信公众号(安服仔的救赎):金眼狗APT后门处置
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论